via

Das Grundproblem ist, dass diese Geräte zum (Zwischen-)speichern der gescannten Dokumeten diese als Image-Datei in unterschiedlichsten Formaten auf eine interne Festplatte schreiben. Man kann entweder die vom Hersteller mitgelieferten Schnittstellen bemühen, um diese Dateien über das Netz auszulesen oder eine klassische Dateisystemanalyse durchführen. Zunehmend setzen die Hersteller auf Standard-Dateissysteme, die das aufwändige Programmieren von zusätzlichen Treibern überflüssig machen.

Aus Informationssicherheitssicht sollte man auch im Hinterkopf behalten, dass bei den klassischen Service- und Leasingverträgen solche Geräte inkl. der darin enthaltenen Festplatten natürlich das Haus verlassen. Höchstwahrscheinlich in der administrativen Hoheit der Verwaltung liegend, die vielleicht nicht ausreichend für die IT-Sicherheit sensibilisiert ist. Hierzu sei auch auf den Baustein “B.306 Drucker, Kopierer und Multifunktionsgeräte” der IT-Grundschutzkatzaloge verweisen.

via SANS (original von cryptome .org)

In einer Art Paneldiskussion mit zwei Mac Forensik Softwareherstellern (Macforensicslab und BlackBag Technologies) und einem Computer Forensik Spezialisten des L.A. County Sheriff’s Department werden die zahlreichen Vorzüge der Mac-Plattform unterstrichen.  Zusätzlich gibt es auch Präsentationen von einigen Mac Forensics Tools (MacLogPick, MacQuisition, MacForensicsLab). Auffällig ist aber, dass am Anfang in einer Art Namedropping die Behörden genannt werden, die ihr Labor bereits standardmäßig mit Apple Hardware betreiben. Neben diesem recht offensichtlichen Anliegen und der obligatorischen Vorstellung der Xserve-Plattform als Laborumgebung in diesem kostenlosen Seminar (there is no such thing as a free lunch ) wird recht kurzweilig die Arbeit in einem Labor erläutert und auch das Thema Forensics Field Triage im Zusammenhang mit Live Response wird ausreichend gewürdigt..

Hier geht es zum Seminar.

Und da ja auch die 4. Auflage meines Buches vor der Tür steht, hier ein Hinweis auf weitere Mac Forensic Tools.

• Forensic Video Report
• Forensic Media Report
• Forensic VCR Report
• ICQ Chat Messages Report
• Firefox 3 History Report
• Whois Report

Während es zum Firefox und Whois Reporter nix zu sagen gibt (tut genau, was es soll und wie andere Freeware-Tools auch), sind die anderen drei Werkzeuge eine nähere Betrachtung wert. Wer sich einmal Stunde um Stunde mit der Sichtung von Videobändern beschäftigen musste (oder den Unglücksraben aus dem Team dabei beobachtet hat ) weiß, dass es auch effektiver gehen muss. Der Entwickler der Software schreibt zu seinem Tool Forensic VCR Report:

“Bei der Forensischen Auswertung von analogen Videobändern stößt man als Auswerter oft schnell an die Leistungsgrenzen. Sämtliche Videobänder, ob nun VHS, Hi8 oder DV müssen erst langwierig gesichtet werden, um möglicherweise kompromittierendes Material, welches durchaus in einem “normalen” Video versteckt sein könnte zu finden. Um die Zeiten für die Sichtung eines solchen Videofilmes zu verkürzen wurde Forensic VCR Report entwickelt. Forensic VCR Report generiert Einzelbilder aus einem abspielenden Videofilm und schneidet diese von handelsüblichen TV-Karten oder Video Schnittkarten mit. Dabei ist es nicht mehr notwendig das Video in Realzeit zu sichten, sondern nachdem die Videofilm “Preview” vollständig ist, einfach noch die Snapshoots einzusehen.
Da Forensic VCR Report Voreinstellungen bezüglich der Videolänge und der Snapshoot Zeit zulässt, kann auch ein automatisierter Mitschnitt, zum Beispiel über Nacht realisiert werden.
Desweiteren ist Forensic VCR Report in der Lage mehrfach gestartet zu werden, um somit auch mit mehr als einem Video Gerät, also zum Beispiel mit 2 TV Karten zu arbeiten.”

Hat man die Filme bereits digital vorliegen, kann man Eyewitness Video Report nehmen. Auch hier werden aus dem Bildern evidente Frames als Bild extrahiert und in einer Timeline als Report ausgegeben. Diese Funktionalität gibt es dort zusätzlich übrigens auch als Addon für X-Ways Forensics.

Alle Tools laufen unter Windows. Mehr zu Eyewitness Forensic Software findet sich unter www.tatortgruppe.de

Eher durch Zufall bin ich über eine Trainingsession von Guidance (EnCast) gestoßen, die sich mit dem Auffinden von Facebook-Chat Spuren mit EnCase beschäftigt. Nach meiner Beobachtung trifft man zunehmend auf solche oder ähnliche Fragestellungen. Der im Video gezeigte Ansatz macht aber auch deutlich, dass wir in diesem Bereich noch am Anfang stehen, auf komfortable Analysemöglichkeiten zugreifen zu können. Nun zum Guidance-Ansatz: Das EnScript Facebook Chat Parser enthält eine Library zum Interpretieren des JSON (JavaScript Object Notification) Formats. Damit lassen sich dann die Strukturen nach Artefakten aus einem Facebook-Chat durchsuchen. Die Anwendung des EnScripts erfolgt wie gewohnt, im Browser-Temp Verzeichnis die entsprechenden Dateien auswählen und dann den Facebook Chat Parser starten. Das Ergebnis (mit hoffentlichen wenigen Duplicates ) lässt sich dann in Excel darstellen. Der Facebook Chat Parser steht im EnCase Support Portal zum Download bereit.

Direktlink EnCast Facebook Artifacts

Da das Remote-Wiping nicht ganz vollständig arbeitet, kann man trotzdem auf Daten zugreifen.  Das System einfach in den Recovery-Mode versetzen und eine neue Firmware aufspielen. Das Dateisystem wird dann zwar zerstört, aber alles was bis dahin noch da ist, lässt sich recovern. Will man das Gerät partout nicht remote wipen lassen, kann man es in den Flugmodus versetzen

Hier ist noch ein älteres Recording aus dem dem Jahre 2008, welches sich mit älteren Versionen des iPhone beschäftigt.  iPhone Forensics Demonstration, 2008 . Damals ging es sowohl um die Umgehung des Passcodes als auch um die Wiederherstellung von vermeintlich gelöschten Datenspuren.

Eine Zusammenfassung diverser forensischer Methoden für iPhones findet sich hier.

Zuerst natürlich der übliche Disclaimer, dass es sich hier meine private Meinung handelt.

Was ist geschehen? Ein Unternehmen, dass häufiger große Aufträge zu vergeben hat und allein durch seine Größe rein statistisch einem gewissen Korruptionsriskio unterliegt, möchte gerne seiner Pflicht gegenüber dem Eigentümer und auch den gesetzlichen Bestimmungen nachkommen, um Bestechung, Korruption und andere kriminelle Handlungen aufzudecken. Denn hierbei kann dem Unternehmen und damit seinen Eigentümern ein größerer Schaden entstehen. Es gibt ein Standardvorgehen, wie man sich schnell einen Überblick über diesbezügliche Sachverhalte gerade bei großen Datenmengen verschafft. Man nimmt sich die vorhandenen (legal erhobenen Daten aus Kreditoren- und Debitorenbuchhaltung, sowie die Personalstammdaten) und schaut sich Auffälligkeiten an. Vom Grundsatz her sollte dies bei Personaldaten pseudonymisiert geschehen. Gibt es eine Auffälligkeit – wir sagen dazu Red Flag – wird eine Tiefenprüfung durchgeführt – wie sonst auch – und dem Verdacht dann nachgegangen. Es ist also keine Datenspionage, sondern eine standardmäßige Prüfungshandlung. Die Frage ist dabei, wo kommen die Daten her und welche weiteren Erkenntnisse fließen in die Analyse ein?

Welche Dinge schaut man sich bei einer Forensischen Datenanalyse normalerweise an? (ganz kurzer und unsortierter Auszug eines Prüfplans)

• Prüfung auf doppelte Einträge bei Namen
• Prüfung auf doppelte Einträge bei Adressen
• Prüfung auf doppelte Einträge bei Telefonnummern
• Prüfung auf doppelte Einträge bei Bankverbindungen
• Prüfung auf doppelte Felder wie Geburtsdaten, Bemerkungen und Eintrittsdaten etc.
• Prüfung auf Zahlungen an inaktive Angestellte
• Prüfung auf bekannte Namen von Mitarbeitern (Abgleich Personalstammdaten)
• Prüfung auf bekannte Adressen von Mitarbeitern (Abgleich Personalstammdaten)
• Prüfung auf bekannte Telefonnummern von Mitarbeitern (Abgleich Personalstammdaten)
• Prüfung auf bekannte Kontonummern/Bankverbindungen von Mitarbeitern (Abgleich mit Personalstammdaten)
• Freigabe von Bestellungen durch den Ersteller
• Freigabe von Bestellungen durch den Ersteller der Banf
• Freigabe von Bestellungen durch nicht-autorisierte Mitarbeiter
• Freigabe von Bestellungen innerhalb eines kurzen Zeitintervalls nach der Erstellung
• Freigabe von Bestellungen an Wochenenden und zu ungewöhnlichen Tageszeiten
• Prüfung auf Wareneingänge ohne Bezug zu einem Bestellungvorgang / BANF
• usw.

Wie dem auch sei, die Forensische Datenanalyse ist ein sehr wichtiges Instrument in großen Unternehmen oder über längere Zeiträume, Anhaltspunkte für dolose Handlungen zu finden. Gibt es einen Treffer für ein Red Flag, bedeutet dies nicht, dass letztendlich auch wirklich etwas dran ist. Die eigentliche Ermittlungsarbeit folgt dann auf den produzierten Ergebnissen. Allerdings müssen auch hier die gesetzlichen Grenzen eingehalten werden. Weiterhin sollte der Auftraggeber einer solchen Forensischen Datenanalyse genau überlegen, wer mit einer solchen Analyse beauftragt wird und aus welchen Quellen die zu untersuchenden Daten stammen.

Zum Schluss möchte ich noch darauf hinweisen, dass es dem Auftraggeber bewusst sein sollte, welchen Analysen auf welcher Datenbasis durchgeführt werden, damit jederzeit dazu auch Auskunft gegeben werden kann.

Ich habe in diesem Zusammenhang eine kleine Umfrage gestartet, die aber eher technischer Natur ist (siehe Rechts unten in der Sidebar).

Es gibt ja zum Speichern der Datenträgerkopien verschiedene Möglichkeiten. Die Schwierigkeit dabei ist, den Zugriff von eventuell unterschiedlichen Betriebssystemen zu ermöglichen. Die einen schwören auf NTFS mit Large File Support, die anderen nehmen FAT32 und lassen EnCase und Konsorten das Image splitten, manche Ermittler nehmen lieber Ext2/3 und greifen von Windows mit einem Ext-Treiber zu. Ich bin auf die Antworten und Diskussionen hierzu gespannt.

The following EnScript will create a list of all the file extensions as EnCase sees them and then counts the number of files in each extension group. The output is printed to the CONSOLE tab. In addition, a file is created in the default export folder named “File Count by extension.csv” that can be opened in Excel for sorting and additional formatting.

Download

Hilfreich war dabei, dass es sich um ein älteres Festplattenmodell handelte, welches auch nur mit dem Betriebssystem DOS eingesetzt wurde. Dadurch war die Fragmentierung kein Problem und sehr große zusammenhängende Datenbereiche konnten von den unzerstörten Bereichen gerettet werden. Sicherlich ohne Frage eine sehr gute Leistung der “weltweit bekanntesten” Festplattenretter.

Link zum Artikel

RegExr is an online tool for editing and testing Regular Expressions (RegExp / RegEx). It provides a simple interface to enter RegEx expressions, and visualize matches in real-time editable source text. It also provides a handy RegExp snippet sidebar with descriptions and usage examples to make it easier to learn Regular Expressions through trial and error.

Der Name TreCorder rührt daher, dass es sich um einen portablen PC (Quad-Core-Prozessor Q6600 mit 2,4 GHz und 4 GByte
RAM) handelt, der mit drei forensischen Writeblocker Bays (Digital Intelligence UltraBay von Tableau) ausgestattet ist. Es können also drei forensische Images gleichzeitig erstellt werden. Wer schon einmal mehr als einen PC gleichzeitig sichern musste, wird diesen Vorteil extrem zu schätzen wissen. Auf dem System selbst sind Windows XP und Linux installiert.
Da sich in der iX in der Durchsatztabelle ein kleiner Fehler eingeschlichen hat, habe ich hier die korrigierte Tabelle mit den Messdaten.

Kollege Krause kommt zu folgendem Fazit:

Insbesondere für Sicherheits- und Strafverfolgungsbehörden, die sich regelmäßig und unter Zeitdruck mit umfangreichen Datenmengen im Rahmen von computerforensischen Untersuchungen konfrontiert sehen, beschleunigt der TreCorder die gerichtsverwertbare Beweismittelsicherung deutlich. Gerade wenn mehrere Festplatten sichergestellt werden müssen, kann er seine Stärken durch die parallele Imageerstellung voll ausspielen. Für Ermittler, die etwas mehr Zeit mitbringen, gibt es allerdings auch deutlich günstigere Alternativen wie das Anschließen von externen Write-Blockern über Firewire 800 oder USB 2.0 an performante Notebooks.

Wer unserer Messreihe nicht traut, kann natürlich auch die Daten nehmen, die der Hersteller mit dem LKA Niedersachsen erstellt hat.